托管在GitHub上的诸多开源项目被曝存在Auth tokens泄露问题

IT之家 8 月 16 日消息，派拓网络（Palo Alto Networks）旗下安全部门 Unit 42 于 8 月 13 日发布报告，表示托管在 GitHub 上的很多热门开源项目存在身份认证授权令牌（Auth tokens）泄露问题，让整个项目面临数据被盗和篡改植入恶意代码等风险。

Unit 42 部门发现包括谷歌、微软和 AWS 等公司在内，很多开源项目通过 CI / CD 工作流中使用 GitHub Actions 操作，存在泄露身份验证 tokens 的问题。

如果恶意行为者发现了这些 tokens，他们就可以利用它们访问私有存储库、窃取源代码，甚至篡改源代码，将合法项目变成恶意软件。

Unit 42 部门表示，默认设置、用户错误配置和安全检查不足等问题是上述问题的核心。

其中一个关键问题存在于“actions / checkout”操作中，默认情况下，该操作会将 GitHub tokens 保存在本地 .git 目录中（隐藏）。

但如果开发者出于某种原因上传了完整的签出目录，就会无意中暴露 .git 文件夹中的 GitHub tokens。

该部门在 GitHub 上共计发现了 14 个开源项目 tokens：

• Firebase （Google）

• OpenSearch Security （AWS）

• Clair （Red Hat）

• Active Directory System （Adsys） （Canonical）

• JSON Schemas （Microsoft）

• TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft （Microsoft）

• CycloneDX SBOM （OWASP）

• Stockfish

• Libevent

• Guardian for Apache Kafka （Aiven-Open）

• Git Annex （Datalad）

• Penrose

• Deckhouse

• Concrete-ML （Zama AI）

该部门已经向 GitHub 和相应的项目所有者报告了这一情况，但 GitHub 表示不会解决这一问题，auth tokens 的安全性完全由项目所有者负责。IT之家在此附上相关链接，感兴趣的用户可以深入阅读。